تحليل حدث المراجحة الناتج عن ثغرة في آلية توزيع مجاني APE Coin
بتاريخ 17 مارس 2022، اكتشف نظام المراقبة نشاطات تجارية مشبوهة تتعلق بعملة APE. وبعد تحليل دقيق، تبين أن هذا مرتبط بوجود ثغرات في آلية توزيع APE Coin.
تكمن المشكلة الأساسية في أن تحديد مؤهلات توزيع APE Coin يعتمد فقط على ما إذا كان المستخدم يمتلك NFT BYAC في لحظة معينة. وقد ثبت أن هذه الآلية بها ثغرات، حيث يمكن للمهاجمين التلاعب بحالة الحيازة مؤقتًا من خلال قروض الفلاش وغيرها من الطرق.
!
عملية الهجوم المحددة هي كما يلي:
إعداد الهجوم:
قام المهاجم بشراء NFT BYAC برقم 1060 بـ 106 ETH، ونقله إلى عقد الهجوم.
!
اقتراض قرض فوري وتبادل NFT BYAC:
قام المهاجم باستدانة كمية كبيرة من رموز BYAC من خلال قرض سريع، ثم قام بتحويل هذه الرموز إلى 5 رموز غير قابلة للاستبدال من BYAC (الأرقام هي 7594، 8214، 9915، 8167 و4755).
!
الاستفادة من NFT BYAC للحصول على توزيع مجاني:
استخدم المهاجم 6 NFTs (بما في ذلك الرقم 1060 الذي تم شراؤه سابقًا و5 جديدة تم استبدالها) لاستلام توزيع مجاني، وحصل على 60,564 رمز APE.
!
تحويل NFT BYAC مرة أخرى إلى Token:
لسداد القرض الفوري، قام المهاجم بإعادة تحويل جميع NFT BYAC (بما في ذلك رقم 1060 الخاص به) إلى رمز BYAC. لم تسدد هذه الخطوة القرض فحسب، بل حققت أيضًا ربحًا إضافيًا قدره 14 ETH.
!
في النهاية، حقق المهاجم ربحًا قدره 60,564 توكن من APE، بقيمة حوالي 500,000 دولار. بعد خصم التكاليف (106 إيثريوم لشراء NFT ناقص 14 إيثريوم من عائدات البيع)، لا يزال المهاجم يحقق ربحًا كبيرًا.
!
تُبرز هذه الحادثة مخاطر توزيع مجاني قائم على الحالة الفورية. عندما تكون تكلفة التلاعب بالحالة أقل من عائدات التوزيع المجاني، تظهر فرص المراجحة. بالنسبة لأنشطة التوزيع المجاني المستقبلية، يحتاج الفريق إلى النظر في آليات توزيع أكثر أمانًا وإنصافًا، لمنع استغلال الثغرات المماثلة.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
فضيحة توزيع مجاني عملة APE هاكر يحقق ربحا قدره 50 ألف دولار
تحليل حدث المراجحة الناتج عن ثغرة في آلية توزيع مجاني APE Coin
بتاريخ 17 مارس 2022، اكتشف نظام المراقبة نشاطات تجارية مشبوهة تتعلق بعملة APE. وبعد تحليل دقيق، تبين أن هذا مرتبط بوجود ثغرات في آلية توزيع APE Coin.
تكمن المشكلة الأساسية في أن تحديد مؤهلات توزيع APE Coin يعتمد فقط على ما إذا كان المستخدم يمتلك NFT BYAC في لحظة معينة. وقد ثبت أن هذه الآلية بها ثغرات، حيث يمكن للمهاجمين التلاعب بحالة الحيازة مؤقتًا من خلال قروض الفلاش وغيرها من الطرق.
!
عملية الهجوم المحددة هي كما يلي:
!
!
!
!
في النهاية، حقق المهاجم ربحًا قدره 60,564 توكن من APE، بقيمة حوالي 500,000 دولار. بعد خصم التكاليف (106 إيثريوم لشراء NFT ناقص 14 إيثريوم من عائدات البيع)، لا يزال المهاجم يحقق ربحًا كبيرًا.
!
تُبرز هذه الحادثة مخاطر توزيع مجاني قائم على الحالة الفورية. عندما تكون تكلفة التلاعب بالحالة أقل من عائدات التوزيع المجاني، تظهر فرص المراجحة. بالنسبة لأنشطة التوزيع المجاني المستقبلية، يحتاج الفريق إلى النظر في آليات توزيع أكثر أمانًا وإنصافًا، لمنع استغلال الثغرات المماثلة.
!
!
!